![[ここギコ!]](http://kokogiko.net/logo.png){kind=logo}
2005年10月28日
OpenIDのシーケンスダイアグラム
ちょっと前のOpenID-MLを漁っていたら、OpenIDのシーケンスダイアグラムが紹介されていました。
判りやすいので一見。
ところで、先日まかまかさんと話していて疑問に思ったんですが、このダイアグラムでの最初の方、
CからIにSを問い合わせるところ(要するにHTMLメタ情報のopenid.serverやopenid.delegateをチェックするとこですな)で、結局のところここがhttps化されてなければ、途中で盗聴・改竄されて異なるSを伝えられてしまい、そうなると何でもログイン成功されてしまいUAを詐称されてしまうんじゃないか、という話をしたんですが、
そうするとOpenIDはidentificationには使える けどauthenticationには使えない、という話があったけど、そもそもidentificationにも攻撃を受ければ使えないんじゃないの?とか思ったり。
正直、この辺の知識に自信ないのでよく判らないんだけど、どうなんだろう。
Related query words in Google & Yahoo
Related Books from Amazon
Trackback to this entry
TrackBack URL :
Trackbacks
トラックバックはありません。
「Man-in-the-Middle攻撃をされたらひとたまりもない ( http://sho.tdiary.net/20051021.html#p01 )」ということですね。
httpsでも、どの認証局を信用するかという問題が残りますね。
OpenIDの仕様書にsecurityの章が必要だと思います。
Post a comment
・MovableType 3.2、MT::App::Trackback.pmの修正(Jak)
・MovableType 3.2、MT::App::Trackback.pmの修正(ambox.su)
・MovableType 3.2、MT::App::Trackback.pmの修正(ambox.su)
・わしズムを読んで「アイヌは民族じゃないよ だから先住民族ではあり得ない」というような奴には、「国連先住『部族』の権利に関する宣言だよ」で問題ない(kokogiko)
・わしズム内の一服の清涼剤「るいるいかむい」(kokogiko)
・大和民族の定義云々について(kokogiko)
・大和民族の定義云々について(kokogiko)
・「定義できない」とのたまうものを自説根拠の説明の中で延々と使う不誠実(笑)(kokogiko)
・わしズム内の一服の清涼剤「るいるいかむい」(むにゅう!)